'법 개정' 개인정보위, 무서워졌다...'개인정보 유출' 골프존에 75억 철퇴

Photo Image
고학수 개인정보보호위원회 위원장이 지난 8일 오후 서울 종로구 정부서울청사에서 열린 2024년 제8회 전체회의에서 모두말씀을 하고 있다.(개인정보보호위원회 제공)

골프존이 약 221만명 이상 서비스 이용자 개인정보를 유출하는 등 개인정보보호법을 위반해 수십억원대의 과징금 철퇴를 맞았다. 이번 골프존 처분은 지난해 전면 개정한 개인정보보호법을 실질적으로 적용한 첫 사례로, 구글(692억원)·메타(308억원)에 이어 세 번째로 국내 기업만 놓고 보면 최대 규모다.

개인정보보호위원회가 지난 8일 제8회 전체회의를 열고, 개인정보보호 법규를 위반한 골프존에 대해 총 과징금 75억400만원과 과태료 540만원 부과와 함께 시정명령과 공표명령을 의결했다.

골프존은 지난해 11월 해커의 랜섬웨어 공격을 받아 약 221만명 이상(전체 회원의 약 44% 해당)의 서비스 이용자와 임직원 개인정보(이름·전화번호·이메일·생년월일·아이디 등)가 유출됐다. 주민등록번호(5831명)와 계좌번호(1647명)가 유출된 사례도 다수 발생했다. 해커가 탈취한 개인정보를 다크웹에 공개하면서 개인정보는 속절없이 암시장에서 유통됐다.

개인정보위는 이번 처분에서 개정 개인정보보호법을 실질적으로 처음 적용했다고 설명했다. 지난해 3월 전면 개정으로 과징금 상한액을 위반행위 관련 매출액 3%에서 전체 매출액 3%로 상향하고, 과징금 처분 대상도 정보통신 서비스 제공자에서 개인정보처리자로 확대했다.

강대현 개인정보위 조사1과장은 “(종전법을 적용하면) 골프존과 같은 오프라인 사업자는 과징금이 아닌 형사처벌과 과태료 부과 대상으로, 주민등록번호와 관련해 과징금이 부과될 수 있다”면서 “전체적으론 금액 규모가 작게 부과될 수 있다”고 설명했다.

그러면서 강 과장은 “골프존은 피해 규모와 영향, 다크웹 유통 등을 종합적으로 고려할 때 매우 중대한 위반행위”라고 덧붙였다.

개인정보위가 이번 골프존 유출사고를 조사한 결과, 안전조치 의무 위반, 주민등록번호 처리제한과 개인정보 파기 위반 등을 확인했다.

골프존은 코로나19로 재택근무가 급증하자 새로운 가상사설망(VPN)을 긴급히 도입하는 과정에서 외부에서 내부 업무망에 아이디(ID)와 패스워드만으로 접속할 수 있도록 허용했음에도 안전조치를 하지 않았다.

개인정보위는 △대량의 개인정보를 저장한 파일서버 미인지 △ID·패스워드만으로 관리자 접근 허용 △서버 간 원격접속과 업무망 내 모든 서버의 인터넷 통신 허용 등 잘못된 방화벽 정책 등을 보호조치 미흡으로 꼽았다.

강 과장은 “개인정보 보호 측면에서 파일서버에 대한 기술적·관리적 안전 조치가 전혀 없었다는 게 문제”라면서 “해커는 랜섬웨어 공격으로 탈취한 서버 관리자 계정으로 VPN을 통해 파일서버에 접근하고 파일을 외부로 유출할 수 있었다”고 지적했다.

골프존은 개인정보위 시정명령에 따라 △실질적인 내부관리계획 수립·시행 △안전조치의무 준수 △개인정보보호책임자 위상과 역할 강화 △전 직원 대상 개인정보 보호 교육 주기적 실시 등을 이행해야 한다. 또 이러한 사실을 홈페이지 등에 공표해야 한다.

강 과장은 “전통적으로 개인정보 처리가 많이 이뤄지는 서비스 영역뿐만 아니라 다양한 고객정보를 취급하는 내부 업무영역에서도 철저한 개인정보 보호조치를 적용해야 함을 강조한 사례”라면서 “이를 계기로 업무처리 전반에 개인정보 보호 수준이 향상될 것으로 기대한다”고 말했다.

Photo Image
골프존 개인정보 유출과정. 해커는 알 수 없는 방법으로 골프존 직원들의 가상사설망(VPN) ①계정정보를 탈취했고, ②사용자 인증·권한 부여 관리서버(AD서버)와 ③파일서버에 원격 접속했다. ④파일서버에 저장된 파일을 외부로 유출한 후 다크웹에 공개했다.(개인정보보호위원회 제공)

조재학 기자 2jh@etnews.com


브랜드 뉴스룸